Regreso a la edad del cobre

Recientemente he leído un buen artículo publicado por Joe Weiss en el que se habla de una vulnerabilidad genérica de un protocolo industrial (HART) cuya base se encuentra en las características de funcionalidad y diseño que son inherentes a los sistemas de control industrial desde su misma concepción.

La idea central del artículo reside en lo siguiente: un sistema de control industrial (SCI en lo sucesivo) está integrado por distintas capas, de las cuales los sensores y actuadores constituyen el nivel más bajo y la interfaz con el operador (HMI o Human-Machine Interface) el nivel más alto. Por deformación profesional, los expertos en ciberseguridad tienden a centrase en los niveles superiores (vulnerabilidades en servidores SCADA, arquitecturas de red, configuración de firewalls,..), objeto de la famosa convergencia, olvidando los niveles ‘de campo’, ya que estos están más alejados de su experiencia y ámbitos de conocimiento. Sin embargo, este nivel (que denominan nivel 0) presenta con frecuencia vulnerabilidades susceptibles, en caso de ser explotadas, de alterar gravemente la marcha del proceso industrial.

En particular, el artículo se dirige al protocolo HART, un protocolo industrial estándar empleado para conectar controladores con sensores y actuadores. En esencia, a través de este protocolo se recogen medidas de proceso y se transmiten señales de regulación en tiempo real, tiempo real de verdad (milisegundos). Y la cuestión es: ¿qué ocurre si, por ejemplo, cambiamos la configuración o calibración de un sensor? Las acciones de control y regulación se llevan a cabo en función de las medidas que se reciben desde campo y, puesto que el sistema no tiene forma de verificar si el valor recibido es correcto o no, puede ordenar acciones de control no adecuadas (para la realidad del proceso, pero sí para la imagen que un PLC tiene de esta realidad).

Pues bien, resulta que mediante el empleo de una herramienta de configuración de las comunicaciones HART instalada en un PC es posible modificar no sólo la configuración del protocolo sino también los valores de las medidas que los sensores envían al sistema, entre otras cosas. La conclusión es que “With all of the new vulnerabilities being found, maybe there should be a consideration for all critical control and safety systems to go “back to the future” – 4-20ma point-to-point serial.”

Nosotros mismos hemos explorado ya este tipo de riesgos en nuestro laboratorio. En particular, hemos atacado un protocolo en el nivel 0 modificando la configuración de un sensor que monitoriza parámetros eléctricos de un sistema físico. Estas lecturas se envían a un PLC que adopta medidas como abrir o cerrar circuitos en función del los valores medidos. Pues bien, simplemente cambiando la configuración del sensor, los valores de un parámetro medido (la tensión, concretamente) se alteran radicalmente. El PLC recibe esas medidas ‘falsas’ y actúa como está programado, reaccionando ante una situación de peligro que en realidad no existe y provocando con su actuación la parada total del proceso controlado. Curiosamente, si se desea realizar esta misma acción a través de la botonera local del sensor, éste pedirá una contraseña para acceder al submenú de ajustes del sistema (qué gran resumen de nuestra mentalidad en lo relativo a seguridad…)

Así pues, podemos estar construyendo un gigante (la ciberseguridad de los SCI) con pies de barro, ya que graves vulnerabilidades basadas en la concepción básica que los ingenieros de proceso tienen acerca de cómo debe diseñarse, configurarse y explotarse un sistema no reciben atención en absoluto. Y su modificación requiere cambios a una escala gigantesca, comenzando por toda una cultura profesional a nivel mundial con décadas de tradición.

La importancia de esta cuestión no puede subestimarse. Nosotros mismos ya hemos hablado de ello en varias ocasiones. En particular, en el artículo que publicamos en la revista SIC dentro del especial acerca de ciberseguridad de SCI (puede consultarse aquí). En aquel artículo señalamos como un punto esencial:

“[hay que]…recordar que un sistema SCADA no es sólo el software de supervisión, el servidor SCADA o la red de comunicaciones (elementos familiares para un profesional TI). Se trata de un sistema complejo en el que también hay elementos físicos (como, por ejemplo, instrumentación y actuadores). En este sentido, posibles soluciones para problemas específicos irresolubles a nivel TI pueden pasar por volver a recuperar cosas como la lógica cableada y los enclavamientos físicos y eléctricos, viejos conocidos de los profesionales industriales.

Últimamente he observado que en muchas instalaciones los enclavamientos de seguridad se implementan a través de lecturas de instrumentación digital, redes de comunicación y los PLC de la red de control. El objetivo es múltiple: por un lado ahorrar costes en cableado y dispositivos que se entienden como redundantes, y por otro, confiar en la mayor precisión y posibilidad de configuración de los sistemas digitales. Conozco algunos casos de fallos con importes que se miden en decenas y cientos de miles de euros a causa de esta práctica. Por tanto, y por muy retrógrado que parezca, soy un firme convencido de los enclavamientos eléctricos, especialmente para aquellos sensores que nos protegen de fallos de consecuencias catastróficas.

En mi caso, el origen de esta costumbre en el diseño se ha fundamentando siempre en una desconfianza hacia el ser humano: nunca sabes quién va a toquetear la calibración de un sensor crítico. He de reconocer, no obstante, que nunca atribuí a ese ser humano malas intenciones ni nada más grave que el desconocimiento o error fortuito. Evidentemente, la situación actual nos obliga a ampliar las razones de la desconfianza. Pero lo esencial no cambia: en mi opinión es imprescindible renunciar a parte de la comodidad y economía ofrecida por los sistemas digitales y volver al cobre. En palabras de Cromwell: “confiad en Dios y mantened seca la pólvora…”

Al menos, en aquello que es crítico.

Comments

  1. Creo que tu visión es correcta, Oscar. Hay veces que la evolución hacía algo más moderno no es necesariamente lo correcto.